Microsoft Azure-Entwickler von einer Flut bösartiger NPM-Pakete betroffen

Microsoft Azure-Entwickler von einer Flut bösartiger NPM-Pakete betroffen

Wie Sicherheitsexperten bestätigten, wurden kürzlich mehr als zweihundert bösartige NPM-Pakete aus der NPM-Registrierung entfernt.

Der Zweck der Pakete bestand darin, personenbezogene Daten (PII) von Microsoft Azure-Entwicklerendpunkten zu stehlen.

Einem Bericht in The Register zufolge hat das Sicherheitsunternehmen JFrog Anfang dieser Woche damit begonnen, verdächtige Downloads zu kennzeichnen. Seitdem hat die manuelle Überprüfung eine Reihe von mehr als zweihundert Paketen entdeckt, bei denen es sich im Wesentlichen allesamt um Malware handelte.

„Nach der manuellen Überprüfung einiger dieser Pakete wurde klar, dass es sich um einen gezielten Angriff auf den gesamten Umfang von @azure npm durch einen Angreifer handelte, der ein automatisiertes Skript verwendete, um Konten zu erstellen und schädliche Pakete herunterzuladen, die den gesamten Umfang abdeckten.“, Sicherheit Gelehrte. Andrey Polkovnychenko und Shachar Menashe erklärten in ihrer Analyse des Unfalls.

Menschen anlügen

Um Entwickler auszutricksen, gaben die Angreifer den bösartigen Paketen genau den gleichen Namen wie ihren nicht bösartigen Gegenstücken, ohne die @azure-Bereichskennung.

„Der Angreifer verlässt sich darauf, dass bestimmte Entwickler bei der Installation eines Pakets versehentlich das @azure-Präfix entfernen können“, erklärten die Forscher. „Zum Beispiel das Ausführen von npm install core-tracing bei einem Fehler anstelle des richtigen Befehls: npm install @azure/core-tracing.“

Aber das ist nicht die einzige Möglichkeit, mit der Angreifer versucht haben, Menschen zum Herunterladen dieser Schadpakete zu verleiten. Sie haben auch hohe Versionsnummern hinzugefügt, in der Hoffnung, dass die internen privaten Proxys von npm zuerst nach neuen Paketversionen suchen.

Letztendlich luden die Angreifer die Pakete über ein automatisiertes Skript herunter, das für jeden Download einen eindeutigen Benutzernamen erstellte, höchstwahrscheinlich in der Hoffnung, gängige Erkennungsmethoden zu umgehen.

Insgesamt wurden XNUMX Schadpakete heruntergeladen, was einige Tage lang anhielt. In diesem Zeitraum wurden sie durchschnittlich jeweils fünfzig Mal heruntergeladen, insgesamt also etwa zehn potenzielle Opfer.

Durch die Registrierung